Guia Gestió de Ciberincidentes
El CCN-CERT, del Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha actualizado su Guia CCN-STIC 817 de Gestió de Ciberincidentes . Amb ella, el CERT Governamental Nacional pretén ajudar a les entitats públiques de l'àmbit d'aplicació de l'ENS a l'establiment de les capacitats de resposta a ciberincidentes i el seu adequat tractament, eficaç i eficient.
La Guia arreplega una classificació amb nou tipus de ciberincidentes diferents i 36 subcategories, entre les quals s'inclouen alguns dels atacs i vulnerabilitats més detectats com Troyanos, Spyware, Cross-Site Scripting (XSS), Injecció SQL, DDoS, Exfiltración d'Informació, Phishing o Ransomware. A més, i en funció de diferents paràmetres (com l'amenaça subjacent, el vector d'atac o les característiques potencials del ciberincidente), s'arreplega una taula per a determinar la perillositat potencial i, d'esta forma, poder assignar prioritats i recursos.
La tipificació de causes i fets del ciberincidente, la recol·lecció i custòdia d'evidències, així com l'intercanvi d'informació i comunicació dels ciberincidentes són uns altres dels aspectes abordats en este document.
La Guía, ahora actualizada, incluye además un Anexo con métricas e indicadores (de implantación, de eficacia y eficiencia e indicadores críticos de riesgo), otro con los elementos para el informe de cierre de un ciberincidente y una introducción a la Ferramenta Lucia .
Declaració i Certificació de Conformitat amb l'ENS
El Centro Criptológico Nacional (CCN) también ha publicado la actualización de su Guia CCN-STIC 809 Declaració i Certificació de conformitat amb l'ENS , així com l'Índex Índex de Guies CCN-STIC . En total, 258 Guies (346 documents) que engloben nou sèries de normes, instruccions, guies i recomanacions desenvolupades pel CCN amb la finalitat de millorar el grau de ciberseguretat de les organitzacions.
Quant a la Guia 809 vé a desenvolupar l'article 41 de l'Esquema Nacional de Seguretat (ENS) que assenyala: “Els òrgans i Entitats de Dret Públic donaran publicitat en les corresponents seus electròniques a les declaracions de conformitat, i als distintius de seguretat dels quals siguen creditors, obtinguts respecte al compliment de l'ENS”.
Així, i segons la categoria del sistema es distingix entre:
- Declaració de conformitat: d'aplicació a sistemes d'informació de categoria Bàsica. Podrà representar-se mitjançant Segell o Distintiu de Declaració de Conformitat generat per l'entitat baix la responsabilitat de la qual estiga el sistema.
- Certificació de conformitat: d'aplicació obligatòria a sistemes d'informació de categoria Mitjana o Alta i voluntària en el cas de sistemes d'informació de categoria Bàsica.
El documento ahora actualizado precisa cuál debe ser el aspecto y el contenido de las declaraciones y certificaciones de conformidad y sus distintivos de seguridad mencionados en el citado artículo 41 del ENS, quién puede solicitarlos, quién puede concederlos y cómo deben hacerse visibles en los espacios públicos tecnológicos de los organismos afectados o en los privados de los operadores económicos concernidos.
Font original de la notícia [1] [2]